Die Bluetooth-Technologie zur Verbindung von Geräte untereinander ist eigentlich sehr praktisch, ist aber immer wieder auch anfällig für Angriffe und hat deswegen immer auch seine Schattenseiten. Jetzt ist eine Sicherheitslücke in der Umsetzung der Bluetooth-Technologie aufgetaucht, die nicht weniger als 5 Milliarden Geräte und alle bekannten Betriebssystem betrifft. Unter Android sind 2 Milliarden Smartphones betroffen.
Bluetooth mag sehr praktisch sein, hat aber (zumindest bei mir) immer auch den Ruf, dass es für allerlei Schindluder genutzt werden kann. Da sich praktisch jedes Gerät mit jedem verbinden kann, und auch schon ohne Pairing kommuniziert, war es nur eine Frage der Zeit bis dort Lücken auftauchen. Jetzt ist gleich eine riesige Lücke aufgetaucht, die praktische ALLE Geräte betrifft, die über Bluetooth kommunizieren können.
Die entdeckte Sicherheitslücke hört auf die Bezeichnung „Blueborne“ und betrifft sowohl Android, iOS als auch Windows und Linux sowie vermutlich noch viele weitere kleine Betriebssysteme. Die Lücke liegt allerdings nicht im Bluetooth-Protokoll selbst, sondern viel mehr in der Umsetzung des Stacks in den Betriebssystemen. Die Lücke ermöglicht es, dass Angreifer mit einem gefälschten Gerät beliebigen Code auf das Endgerät des Nutzers schleusen und diesen auch ausführen können.
Da Bluetooth-Geräte zum Pairing miteinander kommunizieren müssen und auch ohne jegliche Verbindung Geräte finden, Daten wie etwa die Bezeichnung austauschen und auch eingestellte PINS vergleichen, gibt es hier vermutlich viele Angriffsflächen. Die Umsetzung der Hersteller scheint aber offenbar so mangelhaft zu sein, dass auf diesen Wegen durch das Ausnutzen von Sicherheitslücken beliebiger Code eingeschleust werden kann. Dazu benötigt es nicht einmal eine große Technologie und auch keinen direkten physischen Zugriff auf ein Gerät.
Entdeckt wurde die Lücke schon vor fast einem halben Jahr, doch erst jetzt hat man das ganze Publik gemacht und somit Druck für die Hersteller aufgebaut.
Google ist bereits seit April 2017 über die Lücke informiert und hat diese nach eigenen Angaben mit dem September-Patch von Android gestopft und schließt diese in allen Android-Versionen bis hinunter zu 6.0 Marshmallow. Doch wie bei Android üblich, weiß man natürlich nie genau ob und wann man diesen Patch selbst für das eigene Gerät bekommt. Neue Geräte mit Oreo können sich auf das Stopfen der Lücke verlassen, bei allen anderen ist man nie sicher.
Apple und Microsoft haben die Lücke nach eigenen Angaben ebenfalls bei aktuellen, noch mit Updates versorgten, Geräten gestopft und nehmen sich somit schon etwas aus der Schusslinie. Damit bleiben vor allem die 2 Milliarden Android-Geräte, die potenziell gefährdet sein. Wer Bluetooth nicht unbedingt benötigt, sollte es ohnehin besser deaktiviert lassen. Betroffen ist übrigens nur das „alte“ Bluetooth, die Low Energy-Variante soll bei keinem Betriebssystem zu Problemen führen.
Bei Google rückt das Thema Bluetooth damit in Zukunft wohl immer weiter in den Fokus: Mit Android hat man in den letzten Wochen schon mehrmals einen Bock geschossen: Unter Android Oreo funktioniert es fast gar nicht, auf vielen Motorola-Smartphones hat man es versehentlich deaktiviert. Zusätzlich ist Google erst vor wenigen Wochen dem Bluetooth-Konsortium beigetreten.
[golem]